Киберзлоумышленники заманивают дипломатов ЕС предложениями дегустации вин

Европейцы, как известно, любят хорошее вино, и эта культурная особенность была использована против них злоумышленниками в ходе недавней кампании угроз. Целью кибероперации было доставить новый бэкдор заманивая дипломатов Европейского Союза (ЕС) фальшивой дегустацией вин.

Исследователи из ThreatLabz компании Zscaler обнаружили кампанию, которая была специально нацелена на чиновников из стран ЕС с индийскими дипломатическими миссиями, написали они. в блоге опубликовано 27 февраля. Актер, получивший соответствующее прозвище «SpikedWine», использовал PDF-файл в электронных письмах под видом приглашения от посла Индии, приглашающего дипломатов на дегустацию вин 2 февраля.

«Мы считаем, что эту атаку осуществил субъект угрозы национальному государству, заинтересованный в использовании геополитических отношений между Индией и дипломатами в европейских странах», — написали в своем сообщении исследователи Zscaler ThreatLabz Судип Сингх и Рой Тэй.

Полезная нагрузка кампании заключается в задняя дверь который исследователи назвали «WineLoader», который имеет модульную конструкцию и использует методы, специально предназначенные для уклонения от обнаружения. К ним относятся повторное шифрование и обнуление буферов памяти, которые служат для защиты конфиденциальных данных в памяти и обхода решений по криминалистике памяти, отметили исследователи.

SpikedWine использовал скомпрометированные веб-сайты для управления и контроля (C2) на нескольких этапах цепочки атаки, которая начинается, когда жертва нажимает на ссылку в PDF-файле, и заканчивается модульной доставкой WineLoader. В целом, по словам исследователей, кибератаки продемонстрировали высокий уровень сложности как в творческой разработке кампании с использованием социальной инженерии, так и в разработке вредоносного ПО.

SpikedWine раскрывает несколько этапов кибератаки

Zscaler ThreatLabz обнаружил PDF-файл — приглашение на предполагаемую дегустацию вин в резиденции посла Индии — загруженный на VirusTotal из Латвии 30 января. Злоумышленники тщательно подготовили содержимое, чтобы выдать себя за посла Индии, и приглашение содержит вредоносную ссылку. на фальшивую анкету под предлогом, что для участия ее необходимо заполнить.

Щелчок — эээ, щелчок — по ссылке перенаправляет пользователей на взломанный сайт, который начинает загрузку zip-архива, содержащего файл под названием «wine.hta». Загруженный файл содержит запутанный код JavaScript, который выполняет следующий этап атаки.

В конечном итоге файл запускает файл с именем sqlwriter.exe по пути: C:WindowsTasks, чтобы запустить цепочку заражения бэкдором WineLoader, загружая вредоносную DLL с именем vcruntime140.dll. Это, в свою очередь, выполняет экспортированную функцию set_se_translator, который расшифровывает встроенный основной модуль WineLoader в DLL с использованием жестко закодированного 256-байтового ключа RC4 перед его выполнением.

WineLoader: модульное и постоянное вредоносное ПО для бэкдора

WineLoader имеет несколько модулей, каждый из которых состоит из данных конфигурации, ключа RC4 и зашифрованных строк, за которыми следует код модуля. Модули, наблюдаемые исследователями, включают основной модуль и модуль персистентности.

Модуль ядра поддерживает три команды: выполнение модулей с сервера управления (C2) синхронно или асинхронно; внедрение бэкдора в другую DLL; и обновление интервала ожидания между запросами маяка.

Модуль персистентности предназначен для того, чтобы позволить черный ход выполнять себя через определенные промежутки времени. Он также предлагает альтернативную конфигурацию для сохранения реестра в другом месте на целевой машине.

Тактика уклонения кибертаккера

По словам исследователей, WineLoader имеет ряд функций, специально предназначенных для уклонения от обнаружения, что демонстрирует заметный уровень сложности SpikedWine. Он шифрует основной модуль и последующие модули, загруженные с сервера C2, строки и данные, отправленные и полученные от C2, с помощью жестко запрограммированного 256-байтового ключа RC4.

По словам исследователей, вредоносное ПО также расшифровывает некоторые строки при использовании, которые затем вскоре повторно шифруются. И он включает в себя буферы памяти, в которых хранятся результаты вызовов API, а также заменяет расшифрованные строки нулями после использования.

Еще одним примечательным аспектом работы SpikedWine является то, что злоумышленник использует скомпрометированную сетевую инфраструктуру на всех этапах цепочки атаки. В частности, по их словам, исследователи выявили три скомпрометированных веб-сайта, которые используются для размещения промежуточной полезной нагрузки или в качестве серверов C2.

Защита и обнаружение (как избежать пятен от красного вина)

Zscaler ThreatLabz уведомила контакты в Национальном центре информатики (NIC) в Индии о злоупотреблении темами индийского правительства в ходе атаки.

По словам исследователей, поскольку сервер C2, использованный в атаке, в определенное время отвечает только на определенные типы запросов, решения для автоматического анализа не могут получать ответы C2 и модульные полезные данные для обнаружения и анализа. Чтобы помочь защитникам, они включили в свой блог список индикаторов компрометации (IoC) и URL-адресов, связанных с атакой.

Многослойный платформа облачной безопасности должны обнаруживать IoC, связанные с WineLoader, на различных уровнях, например, любые файлы с именем угрозы Win64.Downloader.WineLoader, отметили исследователи.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/cyberattackers-lure-eu-diplomats-wine-tasting-offers